Deutsch

English

Deutsch

English

Darstellung

Wissen & Best Practices

Diese Seite bündelt Hintergrundwissen zum EU AI Act und praktische Best Practices für Einstieg und laufenden Betrieb. Wie die NADOVO-Plattform aufgebaut ist und wie das 5-Phasen-Framework funktioniert, lesen Sie in den Ersten Schritten. Konkrete Bedienfragen beantwortet die FAQ.

EU AI Act – kompakt

Der EU AI Act (Verordnung (EU) 2024/1689) ist die erste umfassende KI-Regulierung weltweit. Sie verfolgt einen risikobasierten Ansatz: Je höher das Risiko einer KI-Anwendung, desto strenger die Pflichten. In Kraft getreten ist sie am 1. August 2024, die Pflichten greifen jedoch gestaffelt.

Wen betrifft er? Anbieter und Betreiber von KI-Systemen — auch außerhalb der EU, sobald die KI in der EU genutzt wird oder ihre Ergebnisse dort verwendet werden. Für den Mittelstand ist vor allem die Rolle als Betreiber relevant (siehe unten).

Die wichtigsten Fristen:

  • 2. Februar 2025 — Die Verbote (Artikel 5) gelten, und die Pflicht zur KI-Kompetenz (Artikel 4) greift.
  • 2. August 2025 — Pflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (GPAI).
  • 2. August 2026 — Der Großteil der Verordnung gilt, insbesondere für Hochrisiko-Systeme nach Anhang III: Konformitätsbewertung, Registrierung, Risikomanagement, Logging und menschliche Aufsicht.
  • 2. August 2027 — Hochrisiko-Systeme nach Anhang I (regulierte Produkte) sowie eine Übergangsfrist für zuvor bereitgestellte GPAI-Modelle.

Vollständiger Leitfaden

Eine ausführliche Einordnung des EU AI Act, der Pflichten und Fristen finden Sie im kostenlosen Leitfaden „EU AI Act Compliance für den Mittelstand": PDF herunterladen.

Risikoklassen & Rollen

Der EU AI Act kennt vier Risikoklassen:

  • Unannehmbar (verboten) — Praktiken nach Artikel 5, z.B. Social Scoring oder bestimmte manipulative und biometrische Anwendungen. Solche Systeme sind untersagt und müssen eingestellt werden.
  • Hoch — Systeme nach Anhang III (acht Bereiche, u.a. Beschäftigung und wesentliche Dienstleistungen) oder Anhang I. Hier gelten die umfangreichsten Pflichten; in NADOVO ist für Hochrisiko-Prozesse eine Risikobewertung (Assessment) Pflicht, bevor der Prozess freigegeben werden kann.
  • Begrenzt — Es gelten Transparenzpflichten (Artikel 50): Nutzer müssen erkennen können, dass sie mit einer KI interagieren (z.B. Chatbots), und synthetische Inhalte sind zu kennzeichnen.
  • Minimal — Keine besonderen Pflichten. Der Großteil aller KI-Anwendungen fällt hierunter.

Zwei Rollen bestimmen den Umfang Ihrer Pflichten:

  • Anbieter (Provider) — entwickelt ein KI-System oder bringt es unter eigenem Namen in Verkehr. Es gelten die umfangreicheren Pflichten.
  • Betreiber (Deployer) — setzt ein KI-System unter eigener Verantwortung beruflich ein. Die Pflichten sind überschaubarer. Die meisten mittelständischen Unternehmen sind bei allen ihren KI-Systemen Betreiber.

Die Kernformel

Asset + Anwendungsbereich = KI-Prozess — daraus ergibt sich die Risikoklasse. Ein KI-System allein sagt nichts über das Risiko aus; erst der Anwendungsfall bestimmt die Einstufung. Mehr dazu im NADOVO-Framework.

Best Practices: Einstieg

Womit fange ich an, wenn ich noch nichts erfasst habe?

Beginnen Sie mit den fünf bis zehn wichtigsten KI-Systemen — nicht mit dem Anspruch auf Vollständigkeit. So verschaffen Sie sich einen Überblick:

  • IT-Landschaft durchgehen: Welche eingesetzte Software hat KI-Funktionen? Viele Standardanwendungen (Microsoft 365 Copilot, CRM mit Lead-Scoring, Buchhaltung mit Belegklassifizierung) enthalten inzwischen KI.
  • Fachabteilungen befragen: Welche KI-Tools werden in der jeweiligen Abteilung genutzt?
  • Cloud-Dienste prüfen: Welche SaaS-Lösungen verwenden KI im Hintergrund? Solche Funktionen kommen oft per Update nachträglich dazu.

Ein Inventar, das rund 80 % der KI-Systeme erfasst, ist die Grundlage für alles Weitere. Danach gehen Sie pro System die NADOVO-Reihenfolge durch: Rolle klären → KI-Prozess (Anwendungsfall) beschreiben → die Risikoklasse ergibt sich automatisch.

Tipp: Lieber mit 80 % starten und sukzessive ergänzen, als auf das perfekte Gesamtbild zu warten.

Was ist „Schatten-KI" — und wie finde ich sie?

Als Schatten-KI bezeichnet man KI-Tools, die im Unternehmen genutzt werden, ohne dass die IT oder die Compliance-Verantwortlichen davon wissen. Typisch sind Mitarbeiter, die eigenständig ChatGPT, Midjourney oder DeepL einsetzen — oder Standardsoftware, die per Update neue KI-Funktionen erhält.

Warum das ein Risiko ist: Was nicht erfasst ist, kann nicht bewertet werden — weder hinsichtlich Risikoklasse noch Datenschutz.

So decken Sie Schatten-KI auf:

  • Gezielt in den Fachabteilungen nachfragen, welche KI-Tools und -Funktionen tatsächlich genutzt werden.
  • Aktuelle Funktionslisten der Cloud-Dienste prüfen — oft sind KI-Funktionen hinzugekommen, die bei der Beschaffung noch nicht existierten.
  • Eine interne KI-Nutzungsrichtlinie aufsetzen, die klarstellt, welche Tools erlaubt sind und welche Daten nicht in externe KI-Dienste gehören.

Erfassen Sie aufgedeckte Tools anschließend als KI-System in NADOVO.

Wie viele KI-Systeme hat ein typisches Unternehmen?

Die meisten mittelständischen Unternehmen (50-500 Mitarbeiter) setzen 5-20 KI-Systeme ein, oft ohne es zu wissen. Typische Beispiele:

  • ChatGPT / Claude — Textgenerierung, Recherche, Zusammenfassungen
  • Microsoft Copilot — Office-Automatisierung, E-Mail-Entwürfe
  • KI-gestützte HR-Tools — Bewerbungsvorauswahl, Mitarbeiteranalyse
  • Chatbots — Kundensupport auf der Website
  • KI-Analysetools — Umsatzprognosen, Betrugserkennung
  • KI-Übersetzungstools — DeepL, Google Translate im Geschäftsbetrieb

Tipp: Fragen Sie in allen Abteilungen nach, welche KI-Tools im Einsatz sind. Oft nutzen Mitarbeiter KI-Tools eigenständig, ohne dass die IT-Abteilung davon weiß.

Verantwortung organisieren

Wer sollte im Unternehmen für KI-Compliance verantwortlich sein?

Idealerweise gibt es eine zentrale Anlaufstelle, die die KI-Compliance koordiniert. Das kann sein:

  • der Datenschutzbeauftragte mit erweitertem Mandat,
  • die IT-Leitung, oder
  • eine eigens benannte Person.

In NADOVO legen Sie die für den EU AI Act verantwortliche Person im Modul Organisation fest.

Kein eigenes Personal dafür? Mit dem Externen KI-Beauftragten übernimmt NADOVO die formale Verantwortung als externer KI-Beauftragter — inklusive formaler Bestellung, laufender Überwachung regulatorischer Änderungen, Quartals-Reviews und Audit-Unterstützung. So sind Sie ab Woche 1 abgedeckt, ohne intern Kompetenz aufbauen oder Personal einstellen zu müssen.

Quick Wins & laufender Betrieb

Was sind typische „Quick Wins" zu Beginn?

Manche Maßnahmen lassen sich sofort und mit wenig Aufwand umsetzen — und reduzieren spürbar Risiko:

  • Transparenzhinweis ergänzen: Wenn Kunden mit einem Chatbot oder einer KI interagieren, weisen Sie sie darauf hin (Transparenzpflicht nach Artikel 50).
  • Interne KI-Nutzungsrichtlinie aufsetzen: Regeln, welche KI-Tools erlaubt sind und welche Daten nicht in externe KI-Dienste eingegeben werden dürfen.
  • Verantwortliche Person benennen: eine zentrale Anlaufstelle für alle KI-Themen.
  • Die wichtigsten Systeme zuerst erfassen: Schon ein 80 %-Inventar schafft Überblick und ermöglicht eine Priorisierung.

Diese Schritte kosten wenig, schaffen aber sofort die Basis für die weiteren Phasen.

Wie oft sollte ich meine KI-Compliance überprüfen?

Mindestens jährlich — oder bei folgenden Anlässen:

  • Ein KI-System wird aktualisiert oder gewechselt
  • Ein neues KI-System wird eingeführt
  • Ein KI-Vorfall tritt auf
  • Die Regulierung ändert sich (neue Leitlinien, Durchführungsverordnungen)
  • Das Einsatzgebiet eines KI-Systems ändert sich

NADOVO unterstützt Sie dabei mit automatischen Statusänderungen und dem Dashboard, das Ihnen offene Aufgaben und kritische Vorfälle anzeigt.

Rechtliches & Leitfaden

Brauche ich einen Anwalt für die EU AI Act Compliance?

NADOVO ersetzt keine Rechtsberatung, aber es reduziert den Bedarf erheblich:

  • Die automatische Risikoklassifizierung gibt Ihnen einen schnellen Ausgangspunkt — statt die 113 Artikel und 13 Anhänge der Verordnung selbst durchzuarbeiten
  • Die strukturierten Assessments führen Sie durch die regulatorischen Anforderungen, ohne dass Sie den Gesetzestext im Detail kennen müssen
  • Die 10-Jahres-Dokumentation stellt sicher, dass Ihre Compliance jederzeit nachweisbar ist

Wann Sie einen Anwalt hinzuziehen sollten:

  • Wenn Sie KI-Systeme mit der Risikostufe "HIGH-RISK" einsetzen und unsicher sind, ob die Einstufung korrekt ist
  • Wenn Sie KI-Systeme als Anbieter (Provider) in Verkehr bringen
  • Wenn ein KI-Vorfall mit ernsthaften Auswirkungen eintritt

Disclaimer (Risikoeinstufung): Diese Risikoklasse ist ein automatisch ermittelter Vorschlag zur Unterstützung der Einschätzung. Sie stellt keine rechtsverbindliche Einstufung dar. Die verbindliche Klassifizierung und die Verantwortung dafür liegen beim Anbieter beziehungsweise Betreiber des bewerteten KI-Systems. Eine fachliche und rechtliche Prüfung des Ergebnisses wird empfohlen.

Stand: Juni 2026

© 2026 CONTORO SOLUTIONS OÜ. Alle Rechte vorbehalten.
NADOVO - nadovo.ai